Összefogtak a phishing ellen a legnagyobb e-mail szolgáltatók
A Google, a Facebook, a Microsoft és a Yahoo, illetve 11 további webes szolgáltató egy új szövetséget hoz létre az adathalász, azaz phishing e-mail támadások ellen. A szövetség neve DMARC, azaz Domain-based Message Authentication, Reporting and Confirmance.
Az adathalászati praktikák ellehetetlenítése és a felhasználók biztonságának növelése a stratégiai cél, s ennek érdekében az újonnan alakult szövetség mindent be fog majd vetni annak ellenére, hogy a tagok közt egyébként napi szinten éles harcok folynak. “A legrosszabb élmény egy felhasználónak, amikor ellopják az adatait” - mondta el Adam Dawes, a Google egyik termékmenedzsere, illetve a DMARC képviselője a Wired magazinnak. “A legjobb módszer a felhasználó megvédésére, ha az ilyen levelek még a spam mappába sem érkeznek meg”.
Hiszékenység-teszt
A phishing általában egy nagyon egyszerű trükkön alapszik, mégpedig azon, hogy első ránézésre a levél egy létező, ismert vagy ismerős feladótól érkezik és a tartalma is hihetőnek tűnik. A legtöbb esetben nagyon egyszerűen lefülelhető a csalás, könnyen észrevehető az átverés, de a felhasználók egy jelentős része biztosan nem fordít kellő figyelmet erre , egészen addig, amíg hoppon nem marad.
Az adathalász leveleket többségében elkapják a levelezők fejlett spamszűrői, de a laikus felhasználók, akik belenéznek a törölt levelek közé, esetleges "false positive" levelek után kutatva, megtalálják ezeket és sokszor meg is nyitják. Az internettel csak ismerkedő felhasználók közül ki tudna ellenállni annak a stressznek, amikor egy látszólag az adott szolgáltatótól érkezik és valamilyen veszélyre, hibára, mulasztásra figyelmeztet, főleg úgy, hogy sok webes szolgáltatás egyébként is küld értesítéseket nagy számban. Igaz ezek sosem kérnek jelszavakat, hanem esetleg a szokásos bejelentkezési felületre irányítanak. A jó phishing üzenetek küldői persze igyekeznek ezt a login képernyőt lemásolni, a tudatlan felhasználó, aki nem néz rá a címsorra, hogy hova is érkezett, könnyedén beleszalad a kelepcébe.
Előszűrés
A DMARC (Domain-based Message Authentication, Reporting and Confirmance) szövetség célja, hogy a tagvállalatok a háttérben elemzik a levelek attribútumait és az adathalász leveleket már célbaérés előtt nyakon csípik. A jövőben tehát nem a kliensoldali védelemre lenne bízva a hamis levelek kezelése, hanem már a levelezőszerverek megállítanák a támadást. Így a phishing elleni hadakozás színtere átkerülne a felhasználó gépéről a sokkal hatékonyabb rendszerekbe, miközben az emberi butaság, hiszékenység kiesne a kockázatok közül.
Az összefogásnak már volt korábbi előzménye is: a Google és a Yahoo másfél évvel ezelőtt már elkezdett együttműködni, hogy a PayPal fizetési rendszerrel kapcsolatos hamis leveleket a szervereiken szűrjék, mielőtt azok eljutnak a felhasználók fiókjába. A három cég együttműködésének eredménye mostanra, hogy több mint 200 ezer hamis PayPal levelet szűrnek ki naponta. Arról nem esik szó, hogy a PayPal fiókokat érintő adathalászati kedv csökkent-e, így nem derül, ki, hogy a csalókat eltántorítja-e a szigor. Ha viszont minden kurrens szolgáltató részt vesz a védekezésben, akkor a lehetséges címzettek túlnyomó része bekerül a védőburok alá.
Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.
Mike Adkins, a Facebook üzenetküldő rendszeréért felelős egyik mérnök a bejelentéshez még annyit tett hozzá, hogy a mai hír nem egy “hamarosan jön” típusú bejelentés, a Facebook levelező felhasználóit már egy ideje védi a DMARC. A módszer egyébként nem használ semmilyen új technológiát, meglévő megoldásokat kombinál, mint a Sender Policy Framework (SPF) vagy a DomainKeys Identified Mail (DKIM). Az SPOF hitelesíti az e-mail küldő IP-címét, a DKIM pedig a levél struktúráját és tartalmát ellenőrzi és hasonlítja össze a küldőtől jövő kódolt információkkal.
Atomtámadás ellen nem véd
A DMARC egyelőre csak a domainalapú adathalász levelek ellen nyújt biztonságot és jelenleg még nem tűzte zászlójára az úgynevezett “typo-phishing” jelenséget, amikor a csalók az eredetire nagyon hasonlító domainnevekkel operálnak, a felületes olvasáskor ezek pedig nem tűnnek fel, a felhasználó nyugodtan kattint, azt hiszi, hogy jó helyen jár. A küldő domain hamisítása ellen viszont teljes mértékben véd a rendszer, amennyiben mindkét érintett fél része a DMARC-nak, így például egy Facebook-fiók ellopását célzó, Gmailre érkező levél biztosan fennakad a rostán. A szűrésből a felhasználók szinte semmit nem fognak észrevenni, jobb esetben csak annyit, hogy csökkenni fog vagy már csökkent is a hamis adatkérő levelek száma.